Dr. Web (российский разработчик средств информационной безопасности) сообщил об обнаружении нового вируса — Trojan.PWS.OSMP. По названию вируса нетрудно догадаться (OSMP), что он предназначен для платежных терминалов, а конкретно для самой крупной платежной системы — Qiwi.
Этот «троян» в первичной своей версии вмешивается в работу легального процесса maratl.exe запущенного в операционной системе терминала. В частности: в операционную систему платежного терминала (ОС Windows) попадает BackDoor.Pushnik, представляющий собой вредоносную программу в виде исполняемого файла, написанного на языке Delphi. Передается он через съемные носители, в частности USB Flash Drive. Как только «флешка» подключается к терминалу, происходит автозапуск бэкдора. В дальнейшем BackDoor.Pushnik получает с сервера первого уровня конфигурационную информацию, в которой присутствует адрес управляющего сервера второго уровня. С него, в свою очередь, исходит «задача» загрузить исполняемый файл (троянскую программу Trojan.PWS.OSMP) с третьего сервера. Trojan.PWS.OSMP встраивается в maratl.exe, меняя его память. В сущности, этот «троян» позволяет хакерам исправить любой номер счета, на который клиент отправляет деньги. И в итоге деньги клиента попадают на счет вирусописателям. Пишет Dr. Web
Trojan.PWS.OSMP, одна из первых вредоносных программ для платежных терминалов, была обнаружена еще в ноябре 2007 года. Последняя модификация вируса обнаружена в феврале 2011, о чем и была предупреждена компания КИВИ, которая в свою очередь поставила в курс дела владельцев терминалов. Это модификация «трояна» действует уже по другой схеме — крадет конфигурационный файл, что, предположительно, может помочь вирусосоздателям создать поддельный терминал на обыкновенном компьютере и направлять деньги на собственный счет в электронной форме, минуя купюроприемник терминала. Модифицированный Trojan.PWS.OSMP представляет наибольшую опасность для платежных терминалов, подключенных к Интернету и использующих maratl.exe.
Но поводов для паники у клиентов платежных терминалов пока нет. Представитель компании Qiwi отмечает, что на самих терминалах КИВИ установлена система Anti-Fraud, которая всегда сумеет распознать вирусную атаку, и заблокирует работу терминала. Также, по заявлению компании Qiwi, нет никаких данных о уже зараженных терминалах, и пока ни один клиент не пострадал от этого вируса. Dr. Web, и «Лаборатория Касперского» тоже не располагают данными о числе жертв атаки. Активность найденного нынешнего вируса была и остается «крайне низкой». Вирус обезврежен, вирусописатели не украли ни копейки.
При перепечатке материала обязательна активная гиперссылка на данную страницу!
